Site-urile web care folosesc WordPress trebuie să șteargă aceste 2 plugin-uri

Conform The Hacker New , două plugin-uri WordPress, Malware Scanner și Web Application Firewall de la miniOrage, se confruntă cu o problemă gravă de securitate, CVE-2024-2172, descoperită de Stiofan, cu un scor de severitate de 9,8 în sistemul de scorare a vulnerabilităților de securitate CVSS.

Eroarea are un impact larg, deoarece, deși dezvoltatorul a eliminat-o din magazinul de aplicații WordPress pe 7 martie 2024, aceasta poate avea în continuare un impact, deoarece Malware Scanner a fost înregistrat ca fiind instalat și activ pe până la 10.000 de site-uri web, în ​​timp ce cu Web Application Firewall este de 300.

Wordfence a declarat că vulnerabilitatea a fost rezultatul unei verificări lipsă în codul pluginului, permițând unui atacator neautentificat să actualizeze arbitrar parola oricărui utilizator și să escaladeze privilegiile către administrator, ceea ce ar putea duce la compromiterea completă a site-ului web.

Cu drepturi administrative, hackerii pot descărca cu ușurință plugin-uri suplimentare, fișiere zip rău intenționate care conțin backdoor-uri și pot modifica postările de pe site-uri web pentru a redirecționa utilizatorii către alte site-uri web rău intenționate.

Anterior, un plugin similar, RegistrationMagic, a fost raportat cu codul de eroare CVE-2024-1991 și scorul CVSS 8,8, ceea ce reprezintă, de asemenea, o vulnerabilitate de escaladare a privilegiilor cu severitate ridicată. Acest plugin a fost, de asemenea, descărcat și instalat de peste 10.000 de ori.

WordPress este un sistem de gestionare a conținutului (CMS) open source faimos, utilizat pe scară largă în întreaga lume . Ușurința instalării, postării și gestionării conținutului pe această platformă CMS face din WordPress o platformă ideală pentru toate tipurile de site-uri web, cum ar fi magazine online, portaluri, forumuri de discuții... Potrivit w3techs , această platformă CMS este aleasă în prezent de 43,1% dintre site-urile web din lume.